WTS Impersonator
Το εργαλείο WTS Impersonator εκμεταλλεύεται τον ονομασμένο αγωγό RPC "\pipe\LSM_API_service" για να απαριθμήσει αθέμιτα τους συνδεδεμένους χρήστες και να κλέψει τα διαπιστευτήριά τους, παρακάμπτοντας τις παραδοσιακές τεχνικές υποκλοπής διαπιστευτηρίων. Αυτή η προσέγγιση διευκολύνει την άθροιση κινήσεων εντός δικτύων. Η καινοτομία πίσω από αυτήν την τεχνική αποδίδεται στον Omri Baso, του οποίου το έργο είναι προσβάσιμο στο GitHub.
Βασική Λειτουργικότητα
Το εργαλείο λειτουργεί μέσω μιας ακολουθίας κλήσεων API:
Κύρια Αρθρώματα και Χρήση
Απαρίθμηση Χρηστών: Είναι δυνατή η τοπική και απομακρυσμένη απαρίθμηση χρηστών με το εργαλείο, χρησιμοποιώντας εντολές για κάθε περίπτωση:
Τοπικά:
Απομακρυσμένα, με την καθορισμένη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή:
Εκτέλεση Εντολών: Τα αρθρώματα
exec
καιexec-remote
απαιτούν ένα πλαίσιο Υπηρεσίας για να λειτουργήσουν. Η τοπική εκτέλεση απλώς χρειάζεται το εκτελέσιμο WTSImpersonator και μια εντολή:Παράδειγμα για την τοπική εκτέλεση εντολής:
Το PsExec64.exe μπορεί να χρησιμοποιηθεί για την απόκτηση ενός πλαισίου υπηρεσίας:
Απομακρυσμένη Εκτέλεση Εντολών: Περιλαμβάνει τη δημιουργία και εγκατάσταση μιας υπηρεσίας απομακρυσμένα, παρόμοια με το PsExec.exe, επιτρέποντας την εκτέλεση με τα κατάλληλα δικαιώματα.
Παράδειγμα απομακρυσμένης εκτέλεσης:
Αρθρώματα Κυνηγού Χρηστών: Στοχεύει συγκεκριμένους χρήστες σε πολλές μηχανές, εκτελώντας κώδικα με τα διαπιστευτήριά τους. Αυτό είναι ιδιαίτερα χρήσιμο για την επίθεση σε Διαχειριστές Τομέα με τοπικά δικαιώματα διαχειριστή σε αρκετά συστήματα.
Παράδειγμα χρήσης:
Last updated